【正文】 SET協(xié)議 4. SET交易的安全性 (1) 信息的機(jī)密性 :SET系統(tǒng)中 ， 敏感信息 （ 如持卡人的帳戶和支付信息 ） 是加密傳送的 ， 不會(huì)被未經(jīng)許可的一方訪問(wèn) 。 3. SSL的安全性 SSL協(xié)議 4. 雙向認(rèn)證 SSL協(xié)議的具體過(guò)程 雙向認(rèn)證 SSL協(xié)議的具體通訊過(guò)程，要求服務(wù)器和用戶雙方都有證書(shū)。 （ 11） CA內(nèi)部管理 ①向上級(jí) CA申請(qǐng)自身 CA數(shù)字證書(shū) ②向上級(jí) CA要求廢除自身 CA數(shù)字證書(shū) ③簽發(fā) /拒絕下級(jí) CA數(shù)字證書(shū)申請(qǐng) ④同意 /拒絕下級(jí) CA數(shù)字證書(shū)廢除請(qǐng)求 ⑤查詢(xún)自身數(shù)字證書(shū)擁有情況 ⑥查詢(xún)黑名單情況 ⑦查詢(xún)操作日志 ⑧管理員信息維護(hù) ⑨統(tǒng)計(jì)報(bào)表輸出 ⑩ CA的安全審計(jì) 電子商務(wù)安全協(xié)議 為了保障電子商務(wù)的安全性，一些公司和機(jī)構(gòu)制定了電子商務(wù)的安全協(xié)議，來(lái)規(guī)范在 Inter上從事商務(wù)活動(dòng)的流程。 通常表示成訪問(wèn)控制矩陣的形式： 電子商務(wù)安全認(rèn)證 數(shù)字證書(shū) 數(shù)字證書(shū)是各類(lèi)終端實(shí)體和最終用戶在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的身份證明，在電子交易的各個(gè)環(huán)節(jié)，交易的各方都需驗(yàn)證對(duì)方數(shù)字證書(shū)的有效性，從而解決相互間的信任問(wèn)題。這樣就不必考慮如何安全地傳輸密鑰。 hash函數(shù) 是 把任意長(zhǎng)的輸入串 x變化成固定長(zhǎng)的輸出串 y的一種函數(shù)，并滿足下述條件： 1）已知哈希函數(shù)的輸出，求解它的輸入是困難的，即已知y=Hash(x),求 x是困難的； 2） 已知 x1,計(jì)算 y1=Hash(x1)， 構(gòu)造 x2使 Hash(x2)=y1是困難的； 3） y=Hash(x),y的每一比特都與 x的每一比特相關(guān)，并有高度敏感性。 認(rèn)證的功能 電子商務(wù)基本安全技術(shù) 2. 認(rèn)證技術(shù) ?用戶所知道的某種秘密信息 ?用戶持有的某種秘密信息（硬件） ?用戶所具有的某些生物學(xué)特征 身份認(rèn)證：用于鑒別用戶身份 報(bào)文認(rèn)證：用于保證通信雙方的不可抵賴(lài)性和信息完整性 實(shí)現(xiàn)方式 驗(yàn)證內(nèi)容 ?證實(shí)報(bào)文是由指定的發(fā)送方產(chǎn)生的 ?證實(shí)報(bào)文的內(nèi)容沒(méi)有被修改過(guò) ?確認(rèn)報(bào)文的序號(hào)和時(shí)間是正確的 電子商務(wù)基本安全技術(shù) 2. 認(rèn)證技術(shù) ?數(shù)字簽名 ?數(shù)字摘要 ?數(shù)字證書(shū) ?CA安全認(rèn)證體系 廣泛使用的認(rèn)證技術(shù) 電子商務(wù)基本安全技術(shù) 3. 安全電子交易協(xié)議 目前有兩種安全在線支付協(xié)議被廣泛采用 ?SSL(Secure Sockets Layer，安全套接層 )協(xié)議 ?SET(Secure Elecronic Transaction，安全電子交易 )協(xié)議 電子商務(wù)基本安全技術(shù) 4. 黑客防范技術(shù) （ 1）安全評(píng)估技術(shù) 通過(guò)掃描器發(fā)現(xiàn)遠(yuǎn)程或本地主機(jī)所存在的安全問(wèn)題。 電子商務(wù)安全概述 （ 1）問(wèn)題的提出 電子商務(wù)的安全問(wèn)題 電子商務(wù)的安全問(wèn)題 （ 2）電子商務(wù)的安全隱患（安全問(wèn)題） 問(wèn)題 數(shù)據(jù)被非法截獲、讀取或者修改 冒名頂替和否認(rèn)行為 一個(gè)網(wǎng)絡(luò)的用戶未經(jīng)授權(quán)訪問(wèn)了另一個(gè)網(wǎng)絡(luò) 計(jì)算機(jī)病毒 措施 數(shù)據(jù)加密 數(shù)字簽名、加密、認(rèn)證等 防火墻 計(jì)算機(jī)病毒防治措施 電子商務(wù)的安全需求 電子商務(wù)的安全需求包括兩方面： ?電子交易的安全需求 ?計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全 電子商務(wù)的安全需求 電子交易的安全需求 （ 1）身份的可認(rèn)證性 在雙方進(jìn)行交易前，首先要能確認(rèn)對(duì)方的身份，要求交易雙方的身份不能被假冒或偽裝。由于密鑰管理成為影響系統(tǒng)安全的關(guān)鍵性因素，使它難以滿足系統(tǒng)的開(kāi)放性要求。加密雖然能在一定程度上保障數(shù)據(jù)安全，但加密本身可能受到比特交換攻擊，無(wú)法保障數(shù)據(jù)的真實(shí)完整，所以需要結(jié)合采用其他完整性機(jī)制。 加密機(jī)制 2. 公鑰加密機(jī)制 公鑰密碼系統(tǒng)的思想 加密機(jī)制 2. 公鑰加密機(jī)制 在公鑰密碼系統(tǒng)中，加密密鑰與解密密鑰不同，并且從其中一個(gè)密鑰推出另一個(gè)密鑰在計(jì)算上非常困難。 數(shù)字簽名機(jī)制 RSA是最常用的數(shù)字簽名機(jī)制 簽名算法： S=D(h(M))=h(M)d mod n 驗(yàn)證簽名算法： 需要知道 M與 S，以及簽名者的公鑰 (e,n)，以及所使用的 hash函數(shù)，然后判斷 h(M)=Se mod n 是否成立？ 成立，簽名有效； 不成立，簽名無(wú)效。 認(rèn)證中心 1. 什么是認(rèn)證中心 各級(jí) CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)電子商務(wù)的信任鏈。 缺點(diǎn)： （ 1）系統(tǒng)不符合中國(guó)國(guó)務(wù)院最新頒布的《商用密碼管理?xiàng)l例》中對(duì)商用密碼產(chǎn)品不得使用國(guó)外密碼算法的規(guī)定，要通過(guò)國(guó)家密碼管理委員會(huì)的審批會(huì)遇到相當(dāng)困難。 （ 6） 商家通過(guò)網(wǎng)絡(luò)給顧客發(fā)送訂單確認(rèn)信息 ， 為顧客配送貨物 ，完成訂購(gòu)服務(wù) 。 (4) 交易的不可否認(rèn)性 :通過(guò)使用數(shù)字簽名 ， 可以防止交易中的一方抵賴(lài)已發(fā)生的交易 。 SET協(xié)議 1. SET概述 SET協(xié)議（ Secure Electronic Transacti